变化说明

Istio 1.7 发布说明。

流量管理

新增配置选项 values.global.proxy.holdApplicationUntilProxyStarts，它使 Sidecar 注入器在 Pod 的容器列表的开始处注入 Sidecar，并配置它阻止所有其他容器的启动，直到代理准备好为止。默认情况下禁用此选项。 (Issue #11130)
新增 SDS 支持客户证书和用于 TLS/mTLS 从出口网关发起的 CA 证书，使用 DestinationRule。 (Issue #14039)

优化信任域验证也可以验证 TCP 流量，以前只有 HTTP 流量被验证。 (Issue #26224)
优化当服务器的 TLS 模式为 ISTIO_MUTUAL 时，Istio 网关允许使用基于源委托的授权。 (Issue #25818)
优化 VM 安全。VM 的身份现在从一个暂时性的 Kubernetes 服务帐户令牌 Token 中启动。VM 的工作负载证书会自动轮换。 (Issue #24554)

新增 Prometheus 指标度量到 Istio 代理。 (Issue #22825)
新增使用 istioctl 自定义指标度量。 (Issue #25963)
新增 TCP 度量标准和到 Stackdriver 的访问日志。 (Issue #23134)
废弃通过 istioctl 安装遥测插件。默认情况下将禁用这些功能，并且在将来的版本中将其完全删除。更多关于安装插件的信息可以在集成页面找到。 (Issue #22762)
启用默认情况下是 Prometheus 指标合并。 (Issue #21366)
修复 Prometheus 指标合并在应用失败时不删除 Envoy 的指标。 (Issue #22825)
修复修复影响 Kiali 图的不明遥测数据。该修复将默认的出站协议嗅探超时增加到 5s，这对 mysql 等服务器第一协议有影响。 (Issue #24379)
移除 pilot_xds_eds_instances 和 pilot_xds_eds_all_locality_endpoints 的 Istiod 指标度量，不正确。 (Issue #25154)

新增允许 [proxy-status <pod> 命令]](/zh/docs/reference/commands/istioctl/#istioctl-proxy-status)用于非 Kubernetes 工作负载，其代理配置由 --file 参数传入。
新增用于保存 Istioctl 默认标志的配置文件。它的默认位置（$HOME/.istioctl/config.yaml），可以通过环境变量 ISTIOCONFIG 更改。新的命令 istioctl experimental config list 显示了默认标志。 (Issue #23868)
新增在 istioctl operator init 和 istioctl operator remove 命令中加入 --revision 标志，可支持多个控制平面的升级。 (Issue #23479)
新增 istioctl x uninstall 命令来卸载 Istio 控制平面。 (Issue #24360)
优化在出现废弃的混合器资源时，istioctl analyze 会发出警告。 (Issue #24471)
优化在没有使用 CaCertificates 来验证服务器身份时，istioctl analyze 会发出警告。
优化使用 istioctl validate 来检查资源中的未知字段。 (Issue #24861)
优化尝试在不支持的旧 Kubernetes 版本中安装 Istio 时，istioctl install 会发出警告。 (Issue #26141)
移除 istioctl manifest apply。更简单的 install 命令取代了Manifest Apply。 (Issue #25737)